Desde a entrada em vigor da Lei nº. 13.709/2018, a questão relacionada à proteção de dados pessoais e o ambiente on-line, tornaram-se assuntos cotidianos não só nas rodas jurídicas, mas, notadamente no mundo empresarial.
As discussões são inúmeras, e, isso faz muito bem ao amadurecimento legislativo, doutrinário e jurisprudencial, afinal de contas, toda mudança, traz consigo uma carga de incertezas, mas também provoca reflexos e amadurecimento e, com a LGPD não é diferente.
Assim, diante da grandeza do tema, o artigo deste mês tem por objetivo ser direto e reto, a um ponto fulcral e que, já emana inúmeras discussões judiciais a respeito, qual seja, “ocorrendo um incidente de segurança com dados pessoais tenho o dever de indenizar sempre?”.
Partindo deste questionamento, tomamos como referencial o art. 46 da LGPD, que traz a obrigação de os agentes de tratamento de dados, tem de proteger os dados pessoais de seus clientes. E para servir de discussão em nosso artigo, vamos admitir como exemplo a seguinte situação hipotética:
“A Empresa A, controladora de dados pessoais, identificou um incidente de segurança em seus sistemas protetivos, que causou, a exposição de dados pessoais de parte de sua base de cliente. Ato contínuo, tratou de noticiar seus clientes, através de e-mails a cada envolvido, postagens genéricas em suas redes sociais, boletim de ocorrência, comunicação ao Ministério Público, e, comunicação à ANPD, dentre outras medidas. Salutar imaginarmos, para que nosso artigo tenha sentido de ser que, “inúmeros titulares dos dados expostos, acionaram judicialmente sobredita empresa, visando buscar a reparação por alegados danos morais”;
Resta evidente a falha na prestação do serviço, portanto, para se falar na excludente de responsabilidade civil prevista no artigo 43, incisos I e III da LGPD, deve-se antes de tudo, verificar se estão presentes os requisitos balizadores da responsabilização civil. Quais seja, a conduta, o nexo causal, o dano e a culpa.
Em primeiro lugar, não podemos esquecer de considerar que o consumidor/titular de dados pessoais, ao contratar a Empresa A, a fez justamente por confiar e esperar uma legítima expectativa de inviolabilidade absoluta do sistema por atuação ilícita de terceiros, acreditando haver toda segurança mínima para que seus dados fiquem seguros.
Assim, visando romper a juridicidade da conduta, talvez o ponto de partida, seja demonstrar que não há garantia de inviolabilidade digital absoluta nos dias atuais, entretanto, todas as medidas tecnológicas e legais foram tomadas em estrita obediência ao art. 46 da LGPD.
Em seguida, a defesa deverá demonstrar em juízo que a ocorrência do incidente se deu exclusivamente, por ato de terceiro externo, ou seja, aquele que não guarda qualquer relação com a atividade empresarial, logo, não se liga à empresa por nenhuma forma de conexão, não havendo culpa, rompendo o nexo causal e afastando o dever de indenizar.
Por conseguinte, faz-se necessário aferir se tal vazamento de dados causou efetivamente algum dano ao titular, sendo inconcebível se admitir dano in repsa na modalidade. Inclusive é o que positiva o art. 42 da LGPD.
Oportuno destacar, que em nosso sistema jurídico não há como indenizar uma expectativa de dano, sob pena de flagrante enriquecimento ilícito.
Desta forma, não basta mera alegação de presunção do dano moral, deve restar comprovado cabalmente a ocorrência de um dano e sua extensão, seja à honra, à imagem ou à moral.
Sendo assim, em que pese as mais variadas alegações que poderiam surgir no caso hipotético narrado em nosso artigo, evidente que, em se tratando de discussão ocasionada tendo como pano de fundo a LGPD, impõe-se a necessidade de demonstração de que o vazamento causou efetiva lesão à autodeterminação informativa daquele titular. Logo, eventos futuros ou de mera suposição (danos hipotéticos), não são passíveis de indenização.
Concluindo, importante frisar no Brasil, a função da responsabilidade civil é ressarcir os danos sofridos pela vítima, e não punir o ofensor, logo, caberá ao titular do dado pessoal, comprovar os danos sofridos e sua extensão, o que poderá afastar a criação de uma nova indústria do dano moral como aquele vivida há décadas atrás, com o advento do Código de Defesa do Consumidor.